Re: IPtables Frage

To: <debian-user-german@lists.debian.org>
Subject: Re: IPtables Frage
From: "Mario Duve" <list-debian@nomagic.de>
Date: Sun, 24 Nov 2002 17:31:31 +0100
Message-id: <[🔎] 001601c293d6$fa324c80$0801a8c0@test.dom>
References: <[🔎] 000901c293b8$04ab5cc0$0801a8c0@test.dom> <[🔎] 20021124130114.GB7621@lux.in-berlin.de> <[🔎] 005a01c293c7$95f2af80$0801a8c0@test.dom> <[🔎] 20021124150336.GD7621@lux.in-berlin.de>

Karl-Heinz Haag schrieb:


> Quoting Mario Duve (list-debian@nomagic.de):
> > > >
> > > > iptables -t nat -A PREROUTING -p tcp --dport 80 -i ppp0 -j DNAT --to 192.168.0.13
> > > Bau Dir passend zu der PREROUTING-Regel eine FORWARD-Regel, die die
> > > Pakete akzeptiert.
> > >
> > > iptables -A FORWARD -p tcp --dport 80 -d 192.168.0.13 -j ACCEPT
> >
> > hab die Regel auch noch gesezt, aber ich bekomme es damit auch nicht zum laufen.
> >
> > > Debugging beim FW-Regelbau *immer* mit tcpdump auf beiden Interfaces des
> > > Filterrechners; sonst bist Du "blind" für die rein+rausgehende Pakete.
> > > tcpdump -pni $ext_iface
> > > tcpdump -pni $int_iface
> >
> > Das echt komische ist, bei einem Bekannten von mir geht es.
> > nur allein mit der Regel
> >
> > iptables -t nat -A PREROUTING -p tcp --dport 80 -i ppp0 -j DNAT --to 192.168.0.13
> >
> > einziger unterschied bei Ihm, er setzt SuSE ein. Könnte ich vielleicht irgendwelche
> > Grundlegenden Sachen vergessen haben?
>
> Ich vermute mal, da ist etwas im Einsatz, das Du übersehen hast, wie:
>
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> (Bei Bedarf auch für INPUT und OUTPUT einsetzen)
>
> Schreib das mal an den Schluß Deiner Regeln.
>
> Damit "übersteuerst" Du ... -P FORWARD(INPUT/OUTPUT) -j DROP falls Du im
> Regelsatz eine spezielle ACCEPT-Regel für eine Paketsorte/Ziel-IP stehen
> hast.
> Du hast auch nicht vergessen, immer schön alle vorherigen Regeln zu
> flushen und zu löschen vor dem Test mit einem neuen Regelsatz ....?
> Wie, ist aus man iptables zu erschließen.
>
> Du testest das immer vor jedem Neu-Regelsatz mit:
> iptables -nL
> *und*
> iptables -nL -t nat
>
> Denk bei Gelegenheit weiterhin daran, tcpdump zur traffic-Analyse
> einzusetzen (meine vorherige Mail).

Ich habe jetzt mal beide verglichen. iptables -nL und iptables -nL -t nat sagen auf beiden
Systemen das selbe. Auf beiden Systemen sind laut lsmod auch die gleichen Module geladen.

tcpdump sieht zwar dieankommende Verbindung, aber so wie es aussieht wird das Prerouting einfach
ignoriert.

Gruss
 Mario

Reply to:

Follow-Ups:
- Re: IPtables Frage
  - From: Karl-Heinz Haag <k@lux.in-berlin.de>
- Re: IPtables Frage
  - From: Karl-Heinz Haag <k@lux.in-berlin.de>

References:
- IPtables Frage
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: IPtables Frage
  - From: Karl-Heinz Haag <k@lux.in-berlin.de>
- Re: IPtables Frage
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: IPtables Frage
  - From: Karl-Heinz Haag <k@lux.in-berlin.de>

Prev by Date: Re: verteiler nicht rfc-konform ?
Next by Date: Re: verteiler nicht rfc-konform ?
Previous by thread: Re: IPtables Frage
Next by thread: Re: IPtables Frage
Index(es):
- Date
- Thread